Zawirusowany laptop

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Zawirusowany laptop

Post21 paź 2016, 19:40

1. Odinstaluj: AnySend , MaohaWiFi , SnapDo , youndoo - Uninstall

2. Otwórz notatnik i wklej:
CloseProcesses:
NETSVCx32: HpSvc -> Brak ścieżki do pliku.
S3 Tosrfcom; Brak ImagePath
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA
C:\Windows\System32\DRIVERS\ucguard.sys
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-10-21] (WinMount International Inc) <==== UWAGA
C:\Windows\system32\drivers\KuaiZipDrive2.sys
R2 Windows; C:\Windows\svchost.exe [177152 2016-10-15] () [Brak podpisu cyfrowego]
R2 zigipyro; C:\Users\Bartek\AppData\Local\AFCA8820-1477071455-81E3-38D7-54BEF72C2413\qnstE6F7.tmp [158720 2015-12-26] () [Brak podpisu cyfrowego]
R2 qigojyty; C:\Program Files (x86)\AFCA8820-1477060573-81E3-38D7-54BEF72C2413\knsy79DB.tmpfs [X]
C:\Users\Bartek\AppData\Local\AFCA8820-1477071455-81E3-38D7-54BEF72C2413
C:\Program Files (x86)\AFCA8820-1477060573-81E3-38D7-54BEF72C2413
R2 Melught; C:\Program Files (x86)\Clerack\rjgAdapter.dll [279552 2016-10-18] () [Brak podpisu cyfrowego]
R2 Mogileghekpy; C:\Program Files (x86)\Gruheph\Mwscloud.dll [277504 2016-10-21] () [Brak podpisu cyfrowego]
R2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [216704 2016-10-21] ()
R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2016-10-21] () [Brak podpisu cyfrowego]
CHR DefaultProfile: ChromeDefaultData2
CHR HomePage: ChromeDefaultData2 -> hxxp://www.youndoo.com/?z=d440f6fc0797d ... KS&type=hp
CHR StartupUrls: ChromeDefaultData2 -> "hxxp://www.youndoo.com/?z=d440f6fc0797d46be7e1249gdz4m9maeeq0e5q3o0e&from=3gs&uid=TOSHIBAXMQ01ABD075_53J5FLWKSXX53J5FLWKS&type=hp"
CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.youndoo.com/search/?q={searchTerms}&z=d440f6fc0797d46be7e1249gdz4m9maeeq0e5q3o0e&from=3gs&uid=TOSHIBAXMQ01ABD075_53J5FLWKSXX53J5FLWKS&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData2 -> youndoo
CHR Profile: C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2016-10-18] <==== UWAGA
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1236313791-1331939257-4131117699-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
Tcpip\..\Interfaces\{16BE0544-370F-4068-A478-5C237A06788B}: [NameServer] 45.32.155.235,
Tcpip\..\Interfaces\{D4699D20-4A72-491F-9254-6CE8F6659905}: [NameServer] 45.32.155.235,
ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-10-21] ()
HKU\S-1-5-21-1236313791-1331939257-4131117699-1000\...\Run: [msiql] => C:\Windows\Temp\00024357\msiql.exe [1883648 2016-10-21] () <===== UWAGA
HKU\S-1-5-18\...\Run: [] => 0
2016-10-21 17:56 - 2016-10-21 17:56 - 00002778 _____ C:\Windows\System32\Tasks\CCleanerSkipUAC
2016-10-21 17:54 - 2016-10-21 17:54 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\ludashi
2016-10-21 17:01 - 2016-10-21 17:04 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\lockhomepage
2016-10-21 17:00 - 2016-10-21 17:00 - 00003334 _____ C:\Windows\System32\Tasks\KuaiZip_Update
2016-10-21 17:00 - 2016-10-21 17:00 - 00001039 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk
2016-10-21 17:00 - 2016-10-21 17:00 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\KuaiZip
2016-10-21 17:00 - 2016-10-21 17:00 - 00000000 ____D C:\ProgramData\{655A137C-982C-4a6f-9DB8-8768661F76D5}.tmp
2016-10-21 17:00 - 2016-10-21 17:00 - 00000000 ____D C:\Program Files (x86)\LDSGameCenter
2016-10-21 17:00 - 2016-10-21 16:57 - 00093072 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive2.sys
2016-10-21 16:57 - 2016-10-21 16:57 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\Softlink
2016-10-21 16:56 - 2016-10-21 17:55 - 00001561 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2016-10-21 16:56 - 2016-10-21 17:44 - 00000000 ____D C:\Program Files (x86)\host
2016-10-21 16:56 - 2016-10-21 17:02 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-10-21 16:55 - 2016-10-21 16:58 - 00000000 __SHD C:\ProgramData\WindowsMsg
2016-10-21 16:55 - 2016-10-21 16:57 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi
2016-10-21 16:54 - 2016-10-21 17:42 - 00000000 ____D C:\Program Files (x86)\sunnyday
2016-10-21 16:53 - 2016-10-21 16:54 - 00000000 ____D C:\Program Files (x86)\KuaiZip
2016-10-21 16:51 - 2016-10-21 17:00 - 00000000 ____D C:\ProgramData\{30B5CA86-1EFF-45b5-A6C0-6A06620054AF}.tmp
2016-10-21 16:50 - 2016-10-21 16:56 - 00000000 ____D C:\Users\Bartek\AppData\Local\app
2016-10-21 16:50 - 2016-10-21 16:50 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\UPUpdata
2016-10-21 16:50 - 2016-10-21 16:50 - 00000000 ____D C:\Program Files (x86)\GreatMaker
2016-10-21 16:49 - 2016-10-21 17:37 - 00000458 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2016-10-21 16:49 - 2016-10-21 16:49 - 00003434 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2016-10-21 16:48 - 2016-10-21 16:48 - 00000000 __SHD C:\Users\Bartek\AppData\Local\svchost
2016-10-21 16:48 - 2016-10-21 16:48 - 00000000 ____D C:\Users\Bartek\AppData\Local\UCBrowser
2016-10-21 16:48 - 2016-10-18 15:58 - 00567808 _____ C:\Windows\SysWOW64\chtbrkg.dll
2016-10-21 16:48 - 2016-10-18 15:57 - 00753152 _____ C:\Windows\system32\chtbrkg.dll
2016-10-21 16:48 - 2016-08-02 08:03 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
2016-10-21 16:47 - 2016-10-21 16:51 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-10-21 16:47 - 2016-10-21 16:47 - 01620992 _____ C:\ProgramData\service.exe
2016-10-21 16:47 - 2016-10-21 16:47 - 00000000 ____D C:\Users\Bartek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
2016-10-21 16:46 - 2016-10-21 16:46 - 00000000 ____D C:\Users\Bartek\AppData\Local\tuto_monetize_120161021
2016-10-21 16:45 - 2016-10-21 17:38 - 00000000 ____D C:\Program Files (x86)\hhh
2016-10-21 16:45 - 2016-10-21 16:47 - 00000000 ____D C:\Users\Public\Thunder Network
2016-10-21 16:45 - 2016-10-21 16:45 - 00000000 ____D C:\ProgramData\Thunder Network
2016-10-21 16:44 - 2016-10-21 17:43 - 00000000 ____D C:\Program Files (x86)\mpck
2016-10-21 16:44 - 2016-10-21 16:45 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\gplyra
2016-10-21 16:40 - 2016-10-21 16:40 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\VDI
2016-10-21 16:38 - 2016-10-21 16:38 - 00006002 _____ C:\Windows\System32\Tasks\Rersipy Client
2016-10-21 16:38 - 2016-10-21 16:38 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\Drerhty
2016-10-21 16:38 - 2016-10-21 16:38 - 00000000 _____ C:\TOSTACK
2016-10-21 16:36 - 2016-10-21 17:01 - 00000000 ____D C:\Program Files (x86)\Gruheph
2016-10-21 16:36 - 2016-10-21 16:44 - 00000000 ____D C:\Program Files (x86)\AFCA8820-1477060573-81E3-38D7-54BEF72C2413
2016-10-21 16:36 - 2016-10-21 16:38 - 00000000 ____D C:\Users\Bartek\AppData\Local\Grisale
2016-10-21 16:13 - 2016-10-21 16:13 - 00000000 ____D C:\Program Files\Caster
2016-10-21 16:12 - 2016-10-21 17:43 - 00000000 ____D C:\Program Files\SpaceSoundPro
2016-10-20 19:09 - 2016-10-20 19:09 - 00002297 _____ C:\Users\Bartek\Desktop\Vivaldi.lnk
2016-10-20 19:09 - 2016-10-20 19:09 - 00002224 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Vivaldi.lnk
2016-10-20 19:09 - 2016-10-20 19:09 - 00000000 ____D C:\Users\Bartek\AppData\Local\Vivaldi
2016-10-20 19:09 - 2016-10-20 19:09 - 00000000 ____D C:\Users\Bartek\AppData\Local\Chromium
2016-10-20 19:04 - 2016-10-20 19:04 - 00001455 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2016-10-20 19:04 - 2016-10-20 19:04 - 00001421 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
2016-10-19 21:00 - 2016-10-19 21:00 - 00000000 ____D C:\ProgramData\Microleaves
2016-10-19 18:31 - 2016-10-20 18:27 - 00003640 _____ C:\Windows\System32\Tasks\Traffic Exchange Updater
2016-10-19 18:31 - 2016-10-20 18:27 - 00003580 _____ C:\Windows\System32\Tasks\Traffic Exchange Guardian
2016-10-19 18:31 - 2016-10-20 18:27 - 00003580 _____ C:\Windows\System32\Tasks\Traffic Exchange Guard
2016-10-19 18:31 - 2016-10-20 18:27 - 00003580 _____ C:\Windows\System32\Tasks\Traffic Exchange
2016-10-19 18:31 - 2016-10-19 18:31 - 00000000 ____D C:\Program Files (x86)\Microleaves
2016-10-19 18:30 - 2016-10-19 18:30 - 00000000 __SHD C:\Windows\SysWOW64\%APPDATA%
2016-10-18 17:00 - 2016-10-20 18:28 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\Microleaves
2016-10-18 16:37 - 2016-10-18 16:37 - 00602112 _____ (<epam>) C:\produpd.exe
2016-10-18 16:37 - 2016-10-18 16:37 - 00506880 _____ (<epam>) C:\monhost.exe
2016-10-18 16:35 - 2016-10-18 16:35 - 00136838 _____ () C:\Users\Bartek\AppData\Roaming\HomeSildom.bin
2016-10-18 16:34 - 2016-10-18 16:34 - 01897570 _____ C:\Users\Bartek\AppData\Roaming\Transhold.bin
2016-10-18 16:31 - 2016-10-18 16:31 - 07214592 _____ C:\Users\Bartek\AppData\Roaming\agent.dat
2016-10-18 16:31 - 2016-10-18 16:31 - 01911512 _____ C:\Users\Bartek\AppData\Roaming\Zumtip.tst
2016-10-18 16:31 - 2016-10-18 16:31 - 00126464 _____ C:\Users\Bartek\AppData\Roaming\noah.dat
2016-10-18 16:31 - 2016-10-18 16:31 - 00070704 _____ C:\Users\Bartek\AppData\Roaming\Config.xml
2016-10-18 16:31 - 2016-10-18 16:31 - 00018432 _____ C:\Users\Bartek\AppData\Roaming\Main.dat
2016-10-18 16:31 - 2016-10-18 16:31 - 00005568 _____ C:\Users\Bartek\AppData\Roaming\md.xml
2016-10-18 16:31 - 2016-10-18 16:21 - 00712704 _____ C:\Users\Bartek\AppData\Roaming\Zumtip.exe
2016-10-18 16:28 - 2016-10-18 16:28 - 00190394 _____ C:\Users\Bartek\AppData\Roaming\SuperFlex.bin
2016-10-18 16:22 - 2016-10-18 16:27 - 00018672 _____ C:\Users\Bartek\AppData\Roaming\InstallationConfiguration.xml
2016-10-18 16:22 - 2016-10-18 16:22 - 00140288 _____ C:\Users\Bartek\AppData\Roaming\Installer.dat
2016-10-18 16:20 - 2016-10-18 16:20 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\Mozilla
2016-10-18 16:20 - 2016-10-18 16:20 - 00000000 ____D C:\ProgramData\Avira
2016-10-18 16:20 - 2016-10-18 16:20 - 00000000 ____D C:\ProgramData\Avg
2016-10-18 16:20 - 2016-10-18 16:20 - 00000000 ____D C:\ProgramData\AVAST Software
2016-10-18 16:18 - 2016-10-19 18:11 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\Reirerse
2016-10-18 16:17 - 2016-10-18 20:02 - 00000000 ____D C:\Program Files (x86)\Clerack
2016-10-18 16:17 - 2016-10-18 16:18 - 00000000 ____D C:\Users\Bartek\AppData\Local\Stelers
2016-10-18 16:10 - 2016-10-21 16:11 - 00000165 _____ C:\Windows\SysWOW64\MUpdater.exe.config
2016-10-18 16:10 - 2016-10-21 16:11 - 00000165 _____ C:\Windows\SysWOW64\GameXP.exe.config
2016-10-18 16:10 - 2016-10-21 16:11 - 00000165 _____ C:\Windows\SysWOW64\GameCenter.exe.config
2016-10-15 15:10 - 2016-10-15 15:10 - 00000000 ____D C:\Windows\IObit
2016-10-15 15:09 - 2016-10-20 18:56 - 00000000 ____D C:\ProgramData\IObit
2016-10-15 15:09 - 2016-10-20 18:55 - 00000000 ____D C:\Users\Bartek\AppData\Roaming\IObit
2016-10-15 15:09 - 2016-10-20 18:55 - 00000000 ____D C:\Program Files (x86)\IObit
2016-10-15 15:09 - 2016-10-15 15:11 - 00000000 ____D C:\Users\Bartek\AppData\LocalLow\IObit
2016-10-15 15:09 - 2016-10-15 15:09 - 01625824 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Windows\libeay32.dll
2016-10-15 15:09 - 2016-10-15 15:09 - 01559319 _____ (Microsoft Corporation) C:\Windows\csrss.exe
2016-10-15 15:09 - 2016-10-15 15:09 - 00608117 _____ C:\Windows\libcurl-4.dll
2016-10-15 15:09 - 2016-10-15 15:09 - 00177152 _____ C:\Windows\svchost.exe
2016-10-15 15:09 - 2016-10-15 15:09 - 00073216 _____ C:\Windows\taskmgr.exe
2016-10-15 15:09 - 2016-10-15 15:09 - 00054784 _____ (MingW-W64 Project. All rights reserved.) C:\Windows\libwinpthread-1.dll
2016-10-15 15:09 - 2016-10-15 15:09 - 00027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS
2016-10-15 15:09 - 2016-10-15 15:09 - 00002072 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
2016-10-15 15:09 - 2016-10-15 15:09 - 00002070 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
2016-10-15 15:09 - 2016-10-15 15:09 - 00000000 ____D C:\Windows\Azart
2016-10-15 15:09 - 2016-10-15 15:09 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 4
2016-10-15 15:08 - 2016-10-15 15:08 - 00002000 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
2016-10-15 15:08 - 2016-10-15 15:08 - 00002000 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk
C:\Windows\Temp\00024357\msiql.exe
C:\ProgramData\service.exe
C:\Users\Bartek\Rayman Legends.exe
C:\Users\Bartek\steam_api.dll
C:\Users\Bartek\uplay_r1.dll
C:\Users\Bartek\uplay_r1_loader.dll
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: {0F138D48-DCD8-41BA-A35B-6C39E6AFD188} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\Windows\system32\EOSNotify.exe [2016-06-25] (Microsoft Corporation)
Task: {1E891FFE-A77C-497D-A899-9C7A4DD52ED9} - System32\Tasks\Rersipy Client => C:\Program Files (x86)\Gruheph\igasy.exe [2016-10-21] (VideoLAN)
Task: {517E351F-861B-40EB-96DE-013115D1A1E1} - System32\Tasks\KuaiZip_Update => X86\Update.exe <==== UWAGA
Task: {56C8A5AA-7A2A-43DD-979C-B673FA2E8B39} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-02] (UCWeb Inc) <==== UWAGA
Task: {5F74124C-FC9A-41C9-857B-03B6B488B181} - System32\Tasks\Traffic Exchange Guardian => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian.exe [2016-08-17] (Microleaves LTD)
Task: {621E9532-E696-4ED2-8596-C4CFE78612A0} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Bartek\AppData\Roaming\Adobe\Manager.exe [2016-10-15] ()
Task: {6DA692A7-BB44-48D6-82B2-CDF379695A0B} - System32\Tasks\CCleanerSkipUAC => D:\Programy\CCleaner\CCleaner.exe [2016-08-05] (Piriform Ltd)
Task: {7123ADBE-1D2D-45C8-9C1A-3F4CFD52C7CB} - System32\Tasks\{148E045A-6AF2-4396-90E8-6FAD39EFDADB} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Flextop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Flextop\uninstall.dat" -a uninstallme B515383B-A87A-4EE2-AB33-91196BCCA8F3 DeviceId=e0a0ce7f-1733-3f99-b935-74373a3cb9d2 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev
Task: {77EC757C-610F-4314-80AF-751EBFA0AEBF} - System32\Tasks\Traffic Exchange Updater => C:\Program Files (x86)\Microleaves\Traffic Exchange\Traffic Exchange Updater.exe [2016-10-06] (Microleaves)
Task: {9D9FC9AE-6A87-4B83-B222-AB42A9B8C370} - System32\Tasks\Traffic Exchange => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian.exe [2016-08-17] (Microleaves LTD)
Task: {E43A0EA4-37B0-4F8F-8DC6-4DCB1C824B21} - System32\Tasks\Traffic Exchange Guard => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian.exe [2016-08-17] (Microleaves LTD)
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku) <===== Cyrillic
Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku) <===== Cyrillic
Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku) <===== Cyrillic
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"
MSCONFIG\startupfolder: C:^Users^Bartek^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^produpd.lnk => C:\Windows\pss\produpd.lnk.Startup
MSCONFIG\startupreg: 555.exe => C:\Users\Bartek\AppData\Local\Temp\129314944\555.exe /f:C:\Users\Bartek\AppData\Local\Temp\8059.tmp
MSCONFIG\startupreg: app => C:\Program Files (x86)\hhh\uc.exe
MSCONFIG\startupreg: apphide => C:\Program Files (x86)\hhh\uc.exe
MSCONFIG\startupreg: ComputerZLite => "C:\Program Files (x86)\LdsLite\LdsLite.exe" "/autorun"
MSCONFIG\startupreg: gplyra => C:\Users\Bartek\AppData\Roaming\gplyra\gplyra.exe
MSCONFIG\startupreg: HydraVisionDesktopManager => "C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe"
MSCONFIG\startupreg: IDSCPRODUCT => "C:\Program Files (x86)\host\i_network.exe"
MSCONFIG\startupreg: ldsuninst => C:\Users\Bartek\AppData\Local\Temp\removelds.bat
MSCONFIG\startupreg: msiql => C:\Users\Bartek\AppData\Local\Temp\00010743\msiql.exe /RUNNING
MSCONFIG\startupreg: OTUTPRODUCT_DKPKU => "C:\Program Files (x86)\mpck\o_network.exe"
MSCONFIG\startupreg: OTUTPRODUCT_VGB2D => "C:\Program Files (x86)\sunnyday\o_network.exe"
MSCONFIG\startupreg: produpd => C:\Users\Bartek\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe /20506
MSCONFIG\startupreg: SpaceSoundPro => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
MSCONFIG\startupreg: svchost0 => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe
MSCONFIG\startupreg: WINCOM5NE => "C:\Program Files (x86)\mpck\wincom_5NE.exe"
MSCONFIG\startupreg: WINCOMP5V => "C:\Program Files (x86)\sunnyday\wincom_P5V.exe"
MSCONFIG\startupreg: win_en_77 =>
CMD: netsh winsock reset
CMD: netsh firewall reset
Hosts:
RemoveProxy:
EmptyTemp:

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wykonaj pełne skanowanie systemu programem Dostępne tylko dla zarejestrowanych użytkowników. Wszystkie zagrożenie wrzuć do kwarantanny a końcowy raport z czyszczenia wrzucasz tutaj.

3. Po tych operacjach nowy komplet logów z FRST do kontroli. Podczas uruchamiania FRST ustaw żeby ponownie wykonały się Addition.txt oraz Shourtcupy.

Revasion

Użytkownik
Posty: 103
Rejestracja: 20 sty 2014, 08:37

Zawirusowany laptop

Post22 paź 2016, 12:15

Kiedy robiłem naprawę w FRST, wywalał brak odpowiedzi kilka razy(zostawiałem go na ~1.5h). Mimo to wrzucam fixloga który się utworzył.
fixlog: Dostępne tylko dla zarejestrowanych użytkowników
JTR: Dostępne tylko dla zarejestrowanych użytkowników
AD: Dostępne tylko dla zarejestrowanych użytkowników
=-=-
FRST: Dostępne tylko dla zarejestrowanych użytkowników
Additional: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut: Dostępne tylko dla zarejestrowanych użytkowników
SnapDo nie chce dać się usunąć.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Zawirusowany laptop

Post22 paź 2016, 12:41

Jest dużo lepiej - ale poprawiamy.

1. Otwórz notatnik i wklej:
CloseProcesses:
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [20324]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [360904]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1157922]
MSCONFIG\startupreg: win_en_77 =>
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [20324 ] (UC Web Inc.) <==== UWAGA
S1 HWiNFO32; \??\C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS [X]
C:\Windows\System32\drivers:ucdrv-x64.sys
CHR DefaultProfile: ChromeDefaultData2
2016-10-21 19:21 - 2016-10-22 11:51 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2016-10-21 19:21 - 2016-10-21 22:21 - 00002560 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2016-10-21 18:37 - 2016-10-22 11:48 - 00004444 _____ C:\Windows\System32\Tasks\SecureUpdater
2016-10-21 16:56 - 2016-10-21 17:55 - 00001561 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\*.lnk
2016-10-15 15:09 - 2016-10-15 15:09 - 00002072 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
2016-10-15 15:09 - 2016-10-15 15:09 - 00002070 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
2016-10-15 15:08 - 2016-10-15 15:08 - 00002000 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
2016-10-15 15:08 - 2016-10-15 15:08 - 00002000 _____ C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk
2016-10-22 11:51 - 2016-07-17 14:35 - 00065536 _____ C:\Windows\system32\spu_storage.bin
C:\Program Files (x86)\UCBrowser
Task: {18F77B42-4CB0-4469-87DA-064507898B09} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe <==== UWAGA
Task: {21961E5E-92EE-4945-A14B-6B6439A9DC27} - System32\Tasks\CCleanerSkipUAC => D:\Programy\CCleaner\CCleaner.exe [2016-08-05] (Piriform Ltd)
Task: {B82C33AF-B323-4D30-B166-61264BE82A60} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
C:\Users\Bartek\AppData\Roaming\HPSewil
EmptyTemp:

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Nowy komplet logów z FRST.


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Zawirusowany laptop

Post22 paź 2016, 13:42

Kończymy.

1. Odinstaluj Chrome. Ściągnij świeżego i zainstaluj.

2. Otwórz notatnik i wklej:
CloseProcesses:
StartMenuInternet: (HKLM) OperaStable - D:\Programy\Opera\Launcher.exe
C:\Windows\system32\spu_storage.bin
C:\Users\Bartek\AppData\Local\Vivaldi
C:\Users\Bartek\AppData\Local\Chromium
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku) <===== Cyrillic
C:\Users\Bartek\AppData\Roaming\HPSewil
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SnapDo
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku)
Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk -> C:\Program Files (x86)\UCBrowser\Application\Uninstall.exe (Brak pliku)
Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Users\Bartek\AppData\Roaming\HPSewil\SewilStarter2.exe (Brak pliku)
Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk -> C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe (Brak pliku)
Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Vivaldi.lnk -> C:\Users\Bartek\AppData\Local\Vivaldi\Application\vivaldi.exe (Brak pliku)

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper (fałszywka od adware DealPly) > Dalej.

4. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

5. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Zawirusowany laptop

Post23 paź 2016, 12:23

Usuń wszystko co wykrył MBAM i HitmanPro.

Czy coś się polepszyło ?

Revasion

Użytkownik
Posty: 103
Rejestracja: 20 sty 2014, 08:37

Zawirusowany laptop

Post23 paź 2016, 15:35

Wszystko usunięte.
Tak już dużo lepiej. Nie wyskakuje już nic.
Jeśli nie ma nic do dodania, to temat do zamknięcie. Dziękuje za pomoc.
Ostatnio zmieniony 23 paź 2016, 15:35 przez djarta, łącznie zmieniany 1 raz.
Powód: Zamykam.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 18 gości